Karelia-ammattikorkeakoulun tietosuoja- ja tietoturvaryhmän laatima
Käsitelty 20.2.2018 Karelia-ammattikorkeakoulun yhteistyö- ja työsuojelutoimikunnassa. Päivitetty 11.8.2022.
EU:n tietosuoja-asetuksen (EU 2016/679)1 soveltaminen on alkanut 25.05.2018 ja tässä tietosuojapolitiikassa on tämä asetus otettu huomioon.
Tietosuojasta huolehtimisella varmistetaan toiminnan vastuullisuus ja asianmukaisuus niin lainsäädännön kuin eettisten toimintatapojen kannalta. Lisäksi tietosuojasta huolehtiminen on osa ammattikorkeakoulun riskien hallintaa. Tietosuojapolitiikassa määritellään perusperiaatteet, kuinka kaikissa ammattikorkeakoulun toiminnoissa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso. Tietosuojapolitiikkaa täydennetään käytännön työohjeistuksilla.
Tietosuojapolitiikan kattavuus, tavoitteet ja periaatteet
Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeudet henkilötietoja käsiteltäessä. Tietosuojalla tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista. Tietosuojalainsäädäntö edellyttää, että henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyltä. Tietojen ja tietojärjestelmien käyttöä seurataan ja väärinkäytöksiin puututaan ammattikorkeakoulun IT-sääntöjen mukaisesti.
EU:n tietosuoja-asetus sisältää sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet.
Tietosuojaperiaatteet ovat:
- käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- käyttötarkoitussidonnaisuus
- tietojen minimointi
- tietojen täsmällisyys
- tietojen säilytyksen rajoittaminen
- tietojen eheys ja luottamuksellisuus
- rekisterinpitäjän osoitusvelvollisuus
”Sisäänrakennetun tietosuojan periaate edellyttää, että edellä mainitut tietosuojaperiaatteet otetaan tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa.
Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.”
Ammattikorkeakoulussa kerätään ja käsitellään muun muassa opintoihin, työntekijöihin sekä tutkimus-, kehittämis- ja innovaatiotoimintaan (TKI) liittyviä henkilötietoja sisältäviä rekistereitä. Karelia Ammattikorkeakoulu Oy on näissä rekisterinpitäjänä ja henkilötietoja käsittelevät ovat henkilötietojen käsittelijöitä. Osa käsiteltävästä tiedosta on luottamuksellista, arkaluonteista sekä salassa pidettävää ja voi paljastuttuaan rikkoa yksityisyyden suojan ja heikentää luottamusta ammattikorkeakoulun toimintaa kohtaan.
Henkilötietojen oikeellisuus on varmistettava, niitä on käsiteltävä asianmukaisesti ja niiden on oltava tarpeen mukaan käytettävissä. Väärien, vanhentuneiden ja virheellisten tietojen käsittely on kielletty, ja näiden oikaiseminen on tehtävä tarpeen mukaan.
Tietoja saavat käyttää ainoastaan niitä työssään tai opinnoissaan tarvitsevat henkilöt ja työtehtävänsä tai opintojensa suorittamisen edellyttämässä laajuudessa. Tietoja saa luovuttaa ainoastaan henkilön itsensä suostumuksella tai lainsäädännön nojalla.
Tietosuojalla on kiinteä yhteys tietoturvaan. Ammattikorkeakoulun tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.
Tietosuojapolitiikka ottaa huomioon myös ammattikorkeakoulun avoimen tieteen politiikan ja periaatteet. Tietosuojan ja tieteen avoimuuden yhteen sovittaminen otetaan huomioon erityisesti tutkimusaineistoja koskettavia käytännön ohjeistuksia ja ratkaisuja laadittaessa.
Tietojen elinkaari ja käyttö
Henkilötietojen käsittely perustuu henkilön suostumukseen tai laissa määriteltyyn muuhun käsittelyperusteeseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä, joita ovat esim. viranomaiset. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tulee tuhota asianmukaisesti.
Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomaisesti kerrotuille tai laissa mainituille luovutuksen saajille. Tietoja saatetaan siirtää rekisterinpitäjän sijaintivaltion ulkopuolelle tai poikkeustapauksissa EU:n ulkopuolelle. Tällöin noudatetaan siirtoa koskevia, tietosuojalainsäädännössä säädettyjä menettelyitä. EU:n ulkopuolelle henkilötietoja siirrettäessä noudatetaan erityistä huolellisuutta ja siihen liittyviä säännöksiä.
Rekisteröityjen informointi
Rekisterinpitäjänä toimii Karelia Ammattikorkeakoulu Oy. Informointivelvollisuutta toteutetaan kuvaamalla henkilötietojen käsittelyä rekisteriselosteissa. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio henkilötietojen käsittelystä tietoja kerättäessä.
Vastuut ja organisointi
Vastuu tietosuojan toteuttamisesta ja henkilötietojen käsittelyn lainmukaisuudesta on ammattikorkeakoulun johdolla. Jokaisen työntekijän ja henkilötietoja opinnoissaan käsittelevän opiskelijan tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit. Ammattikorkeakoululle on nimitetty tietosuojavastaava, joka ohjaa ja kehittää tietosuojan toteutumista ammattikorkeakoulussa. Tietosuojavastaavan asema ja tehtävät noudattelee EU:n tietosuoja-asetuksen artikloja 38 ja 39 (katso liite 1). Tietosuojavastaavan yhteystiedot ovat julkisesti saatavilla.
Tietosuojavastaavan tukena toimii ammattikorkeakoulun tietosuoja- ja tietoturvaryhmä. Ryhmään kuuluvat tietosuojavastaava, hallinto- ja talousjohtaja, henkilöstöpäällikkö, opiskelijapalvelujen päällikkö, työsuojeluvaltuutettu ja turvallisuuspäällikkö. Ryhmän tehtävät on kuvattu liitteessä 1.
Tietojenkäsittelyä ulkoistettaessa tulee huolehtia, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään.
Tietosuojan varmistaminen
Tietosuojan varmistamiseen liittyy oleellisesti riskiperustainen lähestyminen.
”Jotta rekisterinpitäjä voi toteuttaa asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa ja muita asetuksessa säädettyjä velvollisuuksia, on rekisterinpitäjän tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä. Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin2 kumoutumiseen.
Riski voi olla korkeampi silloin, kun käsitellään esimerkiksi erityisiä henkilötietoryhmiin kuuluvia tietoja. Kun henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski, on tietosuoja- asetuksen mukaan rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi. Riskin tasoa arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset edellä selostetun mukaisesti.” [1]
Vaikutustenarvioinnin yhteydessä rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta.
Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen. Opiskelijoille tämä sisältyy ammatillisen kasvun opintojaksoon. Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus.
Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan ammattikorkeakoulun käyttäjähallintaratkaisulla tai muuten dokumentoiduilla menettelyillä.
Ammattikorkeakoulu arvioi ja valvoo tietosuojan toteutumista ja tekee tarkastuksia tietosuoja-asioissa osana normaalia tarkastustoimintaansa. Tietosuojan toteutuminen varmennetaan vuosittain raportoinnilla johdolle.
1 Pseudonymisointi (’salanimellä julkaiseminen’) Henkilötietojen käsittelemistä niin, että tietoja ei voida enää suoraan yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja. Tällaiset lisätiedot tulee säilyttää erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei tällaista yhdistämistä tunnistettuun tai tunnistettavissa olevaan henkilöön tapahdu. Lähde: Vahti-raportti 1/2016
Tietosuojan ongelmatilanteet
Tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Osana henkilötietojen käsittelyn suunnittelua ammattikorkeakoululla on prosessi myös mahdollisten tietoturvaloukkausten varalle, jotta tietoturvaloukkaukseen liittyvien ilmoitusvelvollisuuksien täyttäminen on mahdollista. Jokainen ammattikorkeakoulun yhteisöön kuuluva on velvollinen ilmoittamaan havaitsemistaan tietosuojaan liittyvistä puutteista, uhkista tai menettelyvirheistä osoitteeseen [email protected]. Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Lisäksi asiasta ilmoitetaan viipymättä rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi.
Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille
Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan ammattikorkeakoulun henkilökunnalle ja opiskelijoille intranetissä. Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi annetaan sisäisiä ohjeita tietosuoja-asioista.
Ammattikorkeakoulun tietosuojapolitiikka on voimassa toistaiseksi. Se on asiakirjana julkinen ja saatavissa ammattikorkeakoulun ulkoisilta ja sisäisiltä verkkosivuilta.
Tietosuojapolitiikan vahvistaminen
Tietosuojapolitiikan on vahvistanut Karelian tietosuoja- ja tietoturvaryhmä kokouksessaan 13.3.2018.
Lähteet:
Lapin yliopiston tietosuojapolitiikan luonnos 7.9.2017 (iso osa tekstistä perustuu tähän), linkki 6.1.2018 (edellyttää pääsyn ja kirjautumisen eduuniin korkeakoulujen GDPR-yhteistyön materiaaliin): https://tt.eduuni.fi/sites/kity/EUGDPR/Dokumentteja/_Tiimi_MP_Muut_Palvelut/Ryhm%C3%A4%201%20d okumentit/Lapin%20yliopiston%20tietosuojapolitiikka%20LUONNOS.docx?Web=1
Tietosuojavaltuutetun ohje ”Miten valmistautua EU:n tietosuoja-asetukseen?” oikeusministeriön ohje 4/2017, linkki 6.1.2018 tietosuojavaltuutetun www-sivuille: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#mitenvalmistautuatietosuoja-asetukseen
Linkit: Tietoturvapolitiikka, IT-säännöt
Liitteet:
Liite 1 Tietosuoja- ja tietoturvaryhmä
Liite 2 Tietosuojavastaavan asema ja tehtävä
Liite 1.
Toimenhaltijapäätös 16.03.2022 § 72, Karelia-ammattikorkeakoulun tietosuoja- ja tietoturvaryhmän täydentäminen
Karelia-ammattikorkeakoulussa on toistaiseksi toimiva tietosuoja- ja tietoturvaryhmä, joka
- on valmistellut voimassa olevan EU:n tietosuoja-asetuksen soveltamista Karelia-ammattikorkeakoulussa,
- käsittelee, kommentoi, antaa lausuntoja sekä hyväksyy tietosuojaan ja tietoturvaan liittyviä Karelia-ammattikorkeakoulun ohjeita ja linjauksia